게시판 뷰
게시판 뷰페이지
Win32/Sober.worm 바이러스 예보
작성자 박종욱
날짜 2003.10.31
조회수 4,565
◈ 개요 
2003년 10월 24일 외국에서 발견되었으며, 국내에는 아직까지 발견 사례가 없지만, 주의해야 한다. E-메일로 바이러스 백신 프로그램 등으로 위장한 영어나 독일어로 작성되어 확산되는 인터넷 웜으로 첨부 파일 실행시 오류 메시지 박스를 출력한다. 웜 치료를 위해 바이로봇을 업데이트(10월 29일자)를 적용하여 진단 및 치료를 권고한다. ◈ 확산 방법
자체 내장된 SMTP 엔진을 이용하여 e-메일을 보내면서 확산되며, 영어나 독일어로 된 메일의 제목과 첨부 파일 등으로 위장하고 있으며 보낸 이가 UpDate@microsoft.com 처럼 잘 알려진 회사에서 보낸 것처럼 위장하는 것으로 추정된다. 메일제목 및 첨부파일은 다음의 리스트 중 에 선택된다. 메일 제목 : (다음 제목 리스트에서 선택) - Neuer Virus im Umlauf! - Sie haben mir einen Wurm geschickt! - Sorry, Ich habe Ihre Mail bekommen - Hi Olle, lange niks mehr geh - Re: lol - Viurs blockiert jeden PC (Vorsicht!) - Hi Schnuckel was machst du so ? - VORSICHT!!! Neuer Mail Wurm - Re: Kontakt - RE: Sex - _berraschung - Ich habe Ihre E-Mail bekommen ! - Jetzt rate mal, wer ich bin !? - Neue Sobig Variante (Lesen!!) - Sie versenden Spam Mails (Virus?) - Ein Wurm ist auf Ihrem Computer! - Langsam reicht es mir - Back At The Funny Farm - Ich Liebe Dich - Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen! 첨부 파일 : (다음 파일명에서 선택.) - AntiVirusDoc.pif - Check-Patch.bat - Screen_Doku.scr - Removal-Tool.exe - Perversionen.scr - Bild.scr - robot_mail.scr - RobotMailer.com - Privat.exe - AntiTrojan.exe - Mausi.scr - NackiDei.com - Anti-Sob.bat - security.pif - Funny.scr - Liebe.com - Odin_Worm.exe - anti_virusdoc.pif - check-patch.bat - removal-tool.exe - screen_doc.scr - potency.pif - perversion.scr - pic.scr - CM-Recover.com - playme.exe - robot_mailer.pif - little-scr.scr - love.com - nacked.com - Hengst.pif - schnitzel.exe - anti-trojan.exe - NAV.pif - love.com - nacked.com *참고 : 첨부 파일 사이즈는 일정하지 않다. ◈ 감염후 증상
1.메일로 첨부된 웜을 실행하면 다음의 경로의 웜의 복사본을 생성 시킨다. - 윈도우 시스템 폴더\drv.exe - 윈도우 시스템 폴더\similare.exe - 윈도우 시스템 폴더\systemchk.exe - 윈도우 시스템 폴더\filexe.exe - 윈도우 시스템 폴더\winreg.exe 등. 2.다음과 같은 가짜 오류 메시지 박스를 출력하기도 한다. 타이틀 : Error 내 용 : File not complete! 3.재 부팅시 자동으로 실행되기 위하여 다음의 레지스트리의 웜의 경로를 추가하는데, 이때 추가되는 이름과 데이터는 일정하지 않고 랜덤하다. 아래의 내용은 그 중 하나의 예제이다. - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 이 름 : syspath 데이터 : (윈도우 시스템 폴더)\drv.exe - HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrnetVersion\Run 이 름 : syspath 데이터 : (윈도우 시스템 폴더)\drv.exe ◈ 치료 방법
- 자동 치료 방법 : 2003년 10월 29일자 바이로봇 정기 업데이트시 이 웜에 대한 진단 및 치료(관련 파일 삭제) 가능하다. - 수동 치료 방법 ①윈도우 바탕화면의 『시작』『실행』을 클릭한 후, 실행창에 regedit를 입력하여 레지스트리 편집기를 실행한다. ②레지스트리 편집기의 좌측창에서 아래의 순서대로 진행하여 항목을 찾는다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ③레지스트리 편집기의 우측창에서 새로 생성된 레지스트리키를 삭제한다. 예를들어) syspath c:\WINNT\System32\drv.exe ※ 잘못된 레지스트리의 수정작업은 시스템의 이상을 발생시킬 수 있으므로 수정 작업시 주의 하도록 한다. ◈ 추가 정보/참조사이트
하우리 : Win32/Sober.worm 안철수 연구소 : Win32/Sober.worm 정보보호진흥원 : Win32/Sober.worm 예보 ◈ 문의처
정보통신원 시스템 운영과 (서울) 2989 (천안) 1723